电话带来的钓鱼攻击 VoIp用户应提高对安全的关注

来源：硅谷动力时间：2005-03-28 14:03:00

　　【eNews消息】互联网电话服务已经吸引着数百万寻求最低费用的用户。现在它们也同样吸引着身份认证窃贼由盗取信用卡转向盗取现金。

　　在线反诈骗专家说：一些国际互联网电话服务让一些网络骗子看起来他们是从另外一个号码打来的。
这是一个很有用的诡计，可以使他们获得信用帐号并且佯装成银行或者其他可信赖的权威机构。

　　“看起来你已经交给人们整个电话网络”，LanceJames说。他作为安全科学（SecureScience）主要的技术官员通过每天的观察识破了这种诡计。

　　不断出现的诡计表明目前Internet协议（或VoIP）的安全保护只具有较低水平。VoIP是一项网络传呼标准，它在过去几年中已经颠覆了通讯产业。

　　传统的电话网络通过精密设备操作，外人很难入侵。由于VoIP通话经过互联网，它们花费要少的多，但也容易受到安全问题的攻击，这些问题也同样困扰着电子邮件和网络。

　　搞乱在线网络的蠕虫病毒可以使VoIP线路瘫痪，AT&T的专家说VoIP交谈可以被外人监听或改变。

　　联邦商务委员会主席DeborahPlattMajoras最近发出警告，不讲道德的电信市场商人可能会利用VoIP损害消费者的大量语音信息。这是一项称作SPIT的技术，用于“通过网络电话兜售信息”。

　　这些威胁大部分仍停留在理论领域。另一方面，据反诈骗专家所言，在过去六个月中，呼叫者身份欺骗已经出现，成为身份认证窃贼和其他网络骗子的一个有用工具。

　　任何记者都可以争夺响着的电话，它的呼叫者身份显示中写着“白宫媒体专线”。但电话不是布什的行政部门的，而是他的安全教师RalphEchemendia从遥远的乔治亚洲高速公路上用手机打来的。

　　“你可以看出这种事情是怎样以一种恶毒的方式使用的，”Echemendia说。他是技术培训公司Intense学校的一名安全教师。

　　一位女发言人说：呼叫者身份欺骗并没有被法律禁止，但是联邦通信委员会要求电信市场商人正确识别他们。

　　Echemendia建立起他自己的系统来防止欺骗电话，但是一些免费或低话费服务也甚至允许技术上的新手来伪造呼叫者身份信息。

　　根据一个讨论区上张贴的消息，收债人和私人侦探利用Camophone公司的一次5分的通话服务来欺骗人们接电话。

　　旅行销售员说，当他们想让顾客回电话到总公司而不是他们的汽车旅馆时，这种服务会派得上用场。

　　James说：在过去六个月中，犯罪者使用呼叫者身份欺骗已经很普遍。

　　电汇服务如西方联盟（WesternUnion）要求顾客当他们想转帐时从家里打电话。这是阻止诈骗的一种努力，但是任何身份认证窃贼通过使用呼叫者身份欺骗都可以轻易逾越这种障碍。

　　James还说：诈骗电话现在可以直接转帐而不必偷取信用卡帐号，更不用购买商品再转售。

　　西方联盟女代言人Danielle Periera说，公司没有办法检验转帐请求是否正当。

　　“我们试图努力保持领先他们一步但是却发现网络骗子很狡诈，他们经常改变他们的计划。”她说。

　　James说：犯罪者可以使用呼叫者身份欺骗来听取其他人的语音邮件，特别是当他们的帐号没有密码保护时。

　　DaveJevans任职于反钓鱼工作组，该工作组是银行业的一个特遣部队。他说：诈骗者也开始采用一项技术使他们看起来是从银行或者其他金融机构打来电话。

　　他说：在回复目前越来越普遍的“钓鱼”邮件的欺骗行为中，这项技术帮助他们取信于顾客，让他们透露出帐号，密码和其他敏感信息

　　VoIP产业先驱Jeff Pulver的自由世界拨号服务可以用于诈骗电话。他说他也不能够阻止滥用他的系统。

　　他说：如果某些公司如VeriSign和NeuStar开发出方法来检验在线身份，这个问题将有可能得以遏制。虽然我们目前还没有找到方法，但我们将会取得成功。